PLAN DE RECUPERACIÓN DE DESASTRES:

(1)

Conceptos

Generales

(2)

Conceptos Generales

DRP

• PLAN DE RECUPERACIÓN DE DESASTRES: Estrategias

definidas para asegurar la reanudación oportuna y

ordenada de los servicios informáticos críticos en caso de contingencia.

BCP

• PLAN DE CONTINUIDAD DEL NEGOCIO: Conjunto de

procedimientos y estrategias definidos para asegurar la

reanudación oportuna y ordenada de los procesos de

negocio generando un impacto mínimo ante un incidente.

BCM

• ADMINISTRACIÓN DE LA CONTINUIDAD DEL NEGOCIO:

Proceso administrativo completo que identifica impactos potenciales que puedan afectar a la organización. Provee la estructura para dar flexibilidad y respuestas efectivas para salvaguardar los intereses de la organización.

(3)

Conceptos Generales

Un DRP responderá a…

• Existen respaldos de la información?

• Los sistemas de información son de alta

disponibilidad?

• Existen centros de datos alternos?

• Están documentadas las estrategias de

recuperación de los sistemas de

información?

(4)

Conceptos Generales

Un programa de BCP responderá a…

• Qué es un desastre?

• Cuál es el impacto asociado?

• Cuánta pérdida puede ser tolerada?

• Cuáles son las alternativas?

• Cómo restablecer las funciones del

negocio/servicio?

• Cuánto costará un plan de recuperación?

• Cuánto es suficiente?

(5)

Objetivos BCM (I)

• Proteger al personal

y los activos

corporativos

• Asegurar la continuidad de las operaciones

• Garantizar la reanudación de los procesos

críticos dentro de los márgenes de tiempo

tolerables

• Minimizar el proceso de toma de

decisiones durante una contingencia

Conceptos Generales

Integrales con proveedores

(6)

Objetivos BCM (II)

• Reducir los

efectos negativos

ocasionados por

el caos

• Cumplir con requerimientos

Legales

/Contractuales /Gubernamentales

• Eliminar la necesidad de desarrollar

nuevos

procedimientos

durante la contingencia

• Minimizar la posibilidad de

pérdida de

información crítica

para el negocio

• Mantener el

servicio al cliente

Conceptos Generales

Integrales con proveedores

(7)

(8)

“…

la resiliencia [es] la capacidad humana

de hacer frente a las adversidades de la

vida, superarlas y salir de ellas

fortalecido e, incluso, transformado

”

(9)

Comunicaciones

Seguridad

Rec

.Humanos

Conocimiento

Tecnología

Operaciones

Calidad

Rec. Desastres

Conceptos Generales

Resiliencia Organizacional

Finanzas

Emergencias

(10)

Por dónde

comienzo?

Evaluación de riesgos Análisis de impacto Estrategias de recuperación Desarrollo del Plan Actualización del Plan Coordinación con autoridades externas Pruebas y ejercicios Sensibilización y capacitación Comunicación de crisis

Conceptos Generales

(11)

“…plans are useless but planning is essential”

Dwight D. Eisenhower

“…los planes son inútiles, pero la planeación es esencial”

Dwight D. Eisenhower

(12)

Mejores prácticas y lineamientos

aplicables

(13)

País origen Metodología Estándar Guía Desarrollada

por: Propósito Fecha

USA Professional Practices for Businesss_{Continuity Management}

Disaster Recovery Institute (DRII)

Lineamientos. 10 Prácticas Profesionales

para gestionar la continuidad del negocio. 2003

USA

NFPA-1600. Standard on

Disaster/Emergency Management and Business Continuity Programs

National Fire Protection Association (NFPA)

Lineamientos para manejo de programas de atención de emergencias, atención de

desastres y programas de continuidad del negocio.

2004

Basilea BASEL - High level principles for

business continuity

Bank for International Settlements (BIS)

Principios para apoyar entidades del sector financiero en la gestión de continuidad del negocio con miras a mejorar la resiliencia del sector financiero. 2006 UK BS25999 Business Continuity Management British Standards Institute (BSI)

Estándares para desarrolar y gestionar programas de continuidad de negocios. Parte 1: Código de práctica

Parte 2: Especificaciones

2006 2007

USA

ISO 22399:2007. Societal security-Guideline for incident preparedness and operational continuity

management.

International Organization for Standardization ISO

Principios y elementos para desarrollo e implementación de programas de atención de incidentes y continuidad operacional en las organizaciones.

2007

Mejores prácticas

1. Inicio y Administración del Proyecto 2. Evaluación y Control de Riesgo

3. Análisis de Impacto del Negocio (BIA)

4. Selección y Desarrollo de Estrategias de Continuidad 5. Respuesta y Operaciones de Emergencia

6. Desarrollo e Implementación Planes de Continuidad 7. Programas de Concientización y Entrenamiento

8. Prueba, Ejercitación y Mantenimiento de los Planes de Continuidad

9. Comunicación de Crisis

10.Coordinación con Autoridades Públicas 1. Regulaciones

2. Evaluación de riesgos 3. Prevención de incidentes 4. Mitigación

5. Logística y administración de recursos 6. Ayuda y asistencia 7. Planeación 8. Administración de incidentes 9. Comunicaciones 10.Procedimientos operacionales 11.Entrenamiento

12.Ejercicios, evaluaciones y acciones correctivas 13.Comunicación de crisis

14.Finanzas y administración del programa

Principios:

1. Soporte y responsabilidad de la alta gerencia

2. Manejo de interrupciones importates en la operatividad 3. Objetivos de recuperación

4. Comunicaciones internas y externas 5. Comunicaciones globales

6. Pruebas

7. Revisiones de BCM por autoridades financieras

Implementar y mantener un sistema de gestión de continuidad del negocio (BCMS):

1. Entender la organización

2. Determinar las estrategias de continuidad del negocio 3. Desarrollar e implementar las estrategias

4. Ejercitar y mantener el BCMS 5. Monitorear y revisar el BCMS

6. Integrar BCM en la cultura organizacional 1. Entender la organización

2. Definir política de cumplimiento 3. Planeación

4. Implementación y operación 5. Seguimiento

(14)

Mejores prácticas

País origen Metodología Estándar Guía Desarrollada

por: Propósito Fecha

Colombia

GTC 176. Guía técnica colombiana. Sistema de Continuidad de Negocio

ICONTEC Lineamientos para la gestión de continuidad

del negocio. Enfocada en gestión de procesos. 2008

1. Principios

2. Sistema de gestión de la continuidad del negocio 3. Gestión del riesgo

4. Análisis de impacto

5. Estrategias de continuidad

6. Desarrollo de los planes de continuidad 7. Manejo de crisis

8. Gestión de competencias para la continuidad del negocio

9. Mantenimiento y actualización del sistema de gestión de la continuidad del negocio

(15)

Regulaciones que incluyen BCP

País origen Metodología Estándar Guía

Desarrollada por: Propósito Fecha

UK ISO27001. Information_{Security Management} British Standards_{Institute (BSI)}

Estándares para el desarrollo, implementación, operación, seguimiento, revisión,

mantenimiento y mejora de un sistema de gestión de la seguridad de la información (SGSI).

A.14 Gestión de la Continuidad del Negocio

2005

UK

ITIL. IT Infrastructure Library’s Service Delivery Management practices

Office of Governement Commerce

Lineamientos para mantener la continuidad de

servicios de tecnología. 2007

Colombia SARO SuperFinanciera

Reglas relativas a la administración del riesgo operativo.

3.1.3.1 Administración de la continuidad del negocio

2006

Colombia Circular 052 SuperFinanciera

3.2.3 Exigir que los terceros dispongan de planes de contingencia y de continuidad debidamente documentados

(16)

Proceso metodológico

según BS25999

(17)

Entender la organización Estrategias de continuidad Desarrollo e implementación de respuestas Probar, mantener y revisar Programa de Administración de Continuidad del Negocio

Cultura organizacional

(18)

Entender la organización Estrategias de continuidad Desarr ollo e implem entació n de respue stas Probar, mantener y revisar Programa de Administración de Continuidad del Negocio

Metodología

• Política de continuidad

• Gobernabilidad

• Implementación del

programa

(19)

• Identificar:

– Objetivos organizacionales – Factores ambientales – Procesos críticos (interdependencias) – Análisis de riesgos

– Análisis de impacto del Negocio (BIA)

• Tiempos de Recuperación (RTO)

• Pérdida de información (RPO)

• Acuerdos de servicio

• Recursos mínimos para operar

Metodología

(20)

Riesgo

• “Evento que pude ocasionar un daño

en un

activo

”

• Se valora como una función del

impacto, amenaza, vulnerabilidad

y

probabilidad

Metodología

Entender la organización

(Análisis de riesgos)

(21)

Impacto

Consecuencias para el negocio dado el daño al

activo.

Ejemplos:

–

Financiero

–

Imagen

–

Continuidad

–

Integridad de personas

–

Clientes…

• Dificultad de cálculo exacto.

–

Definir y seleccionar una escala de

impactos

Metodología

(22)

Amenaza

• Declaración intencionada de infligir un

daño

–

Robo, virus, acceso no autorizado

• Potencial de que un incidente no

deseado pueda producir daños a la

información

–

Humano: falta de personal, error de

operación…

–

Técnico: fallo de equipos

• Desastre natural, intencional o

accidental:

–

Inundación, terremoto, incendio…

Metodología

(23)

Vulnerabilidad

Debilidad de un activo que puede ser

explotada por una amenaza para

materializar una agresión sobre dicho

activo:

–

Falta de control de acceso

–

Equipos en lugares inadecuados

–

Cables desprotegidos

–

Falta de personal clave

–

Mantenimiento inexistente

–

Puertas abiertas

–

Personal no capacitado

Metodología

Una vulnerabilidad, por sí misma, no produce daños. Es una condición para que la amenaza afecte al activo.

Entender la organización (Análisis de riesgos)

(24)

Probabilidad

Cifra que expresa el grado de que un

hecho sea absolutamente seguro de que

ocurra o no.

Se expresa:

– Cualitativamente : Bajo, Moderado, Alto, Extremo

–Cuantitativamente: 0 - 1

Metodología

(25)

Metodología

Riesgo es la materialización de una amenaza

aprovechando la vulnerabilidad de un activo

Impacto

¿Cuál es el impacto al negocio?

Probabilidad

¿Qué tan probable es la

amenaza dados los controles?

Activo

¿Qué trata de proteger?

Amenaza

¿Qué teme que suceda? Vulnerabilidad ¿Cómo puede ocurrir la amenaza? Mitigación ¿Cómo se reduce actualmente el riesgo? Entender la organización (Análisis de riesgos)

(26)

Estándar AS/NZS 4360

1.

Establecer

el Contexto

2. Identificar Riesgos 3. Analizar Riesgos

4. Evaluar Riesgos

5.Tratar Riesgos Monitorizar y Revisar Comunicar y consultar Entender la organización (Análisis de riesgos)

Metodología

(27)

Establecer el contexto

Metodología

• Estratégico

• Organizacional

• Administración de riesgos

• Criterios

• Estructura

(28)

Identificar Riesgos

Metodología

Qué puede suceder? Cómo puede suceder?

(29)

Analizar Riesgos

Metodología

Nivel Descriptor Ejemplo

1 Insignificante Sin perjuicios, baja pérdida financiera 2 Menor Tratamiento de primeros auxilios,

liberado localmente, pérdida financiera media

3 Moderado Requiere tratamiento médico, pérdida financiera alta

4 Mayor Perjuicios extensivos sin efectos nocivos, pérdida financiera mayor 5 Catastrófico Muerte, efectos nocivos, enorme

pérdida financiera

(30)

Analizar Riesgos

Metodología

Nivel Descriptor Descripción

A Casi certeza Se espera que ocurra en la mayoría de las circunstancias

B Probable Probablemente ocurrirá en la mayoría de las circunstancias

C Posible Podría ocurrir en algún momento D Improbable Podría ocurrir en algún momento E Raro Puede ocurrir solo en circunstancias

excepcionales

(31)

Analizar Riesgos

Metodología

Matriz de análisis de riesgo cualitativo

Probabilidad Impacto Insignif. 1 Menores 2 Moderadas 3 Mayores 4 Catastróficas 5 A (casi certeza) H H E E E B (probable) M H H E E C (moderado) L M H E E D (improbable) L L M H E E (raro) L L M H H L: Bajo M: Moderado H: Alto E: Extremo

(32)

Evaluar riesgos

Metodología

• Comparar contra criterios

• Establecer prioridades de riesgos

• Decidir entre aceptación o tratamiento

de riesgos

(33)

Tratar riesgos

Metodología

Probabilidad Impact Tolerar Tratar Transferir Terminar

(34)

Monitorizar y revisar

Metodología

Comunicar y consultar

• Condiciones cambiantes exigen

seguimiento permanente

• Actualización

• Plan de comunicaciones

(35)

Metodología

Entender la organización (BIA)

• Identificar:

– Objetivos organizacionales – Factores ambientales – Procesos críticos (interdependencias) – Análisis de riesgos

– Análisis de impacto del Negocio (BIA)

• Tiempos de Recuperación (RTO)

• Pérdida de información (RPO)

• Acuerdos de servicio

(36)

BIA (Análisis de Impacto del Negocio)

–

Identificar procesos críticos

–

Valorar impacto en procesos críticos

• Cualitativo / Cuantitativo

–

Determinar tiempos objetivos de recuperación

–

Priorizar procesos para su recuperación

–

Determinar los recursos mínimos de recuperación

–

Identificar previamente estrategias

Metodología

(37)

¾

Cuantitativo

¾Valor aceptable de la pérdida

¾Volumen promedio de operaciones ¾Operaciones en día crítico

¾Penalidades y multas

¾

Cualitativo

¾Descripción del impacto de la NO disponibilidad ¾Reconstrucción de imagen y credibilidad

Metodología

Valoración de Impacto

_Impacto

Empleados Público en general Información Cumplimiento Reputación Financiero Calidad de servicios Ambiente Entender la organización (BIA)

(38)

Procesos vs. SI SI1 SI2 SI3 SI4 SI5 SI6 SI7 Facturación X X X Cartera X X X Pagos X X X Administración de citas médicas X X Adquisición medicamentos X X X

Metodología

Análisis de impacto de aplicaciones

(39)

Tiempos y puntos objetivos de recuperación

Metodología

Punto de Recuperación Tiempo de Recuperación

Sem Días Hrs Min Seg Seg Min Hrs Días Sem

Punto Objetivo de Recuperación (RPO)

Qué tan actualizados necesitan estar los datos?

Tiempo Objetivo de Recuperación (RTO) Cuál es la tolerancia a la no disponibilidad? Entender la organización (BIA)

(40)

• Requerimientos mínimos

aceptables

–

Ventanas de recuperación

–

Información

–

Recurso humano

–

Documentos

–

Instalaciones

Metodología

(41)

• Recurso humano

• Tecnología

• Información vital

• Proveedores

• Socios de negocio

Metodología

Estrategias de continuidad

(42)

• Recurso humano

–

Mantener habilidades

y conocimiento

–

Segregación de

actividades críticas

–

Sitios alternos

–

Acceso remoto

Metodología

(43)

• Tecnología

–

Elementos por

considerar:

• Hardware

• Software

• Telecomunicaciones

• Backup y recuperación

Metodología

Las cintas del backup están dentro del

(44)

Tecnología

• Tolerancia a fallos (fault tolerance)

– Un sistema tolerante a fallos puede continuar brindado servicios a pesar de fallas de hardware.

• Balanceo de carga (load balancing)

– Sistemas que comparten la carga de trabajo para evitar recursos ociosos y bajo desempeño.

• Alta Disponibilidad (high availability)

– Sistema que es continuamente operacional, mediante la

implementación de controles

preventivos, detectivos y correctivos.

• Virtualización

– Abstracción de recursos computacionales

Metodología

Disponibilidad Tiempo abajo

90% 52,560 min/año=36,5 días/año 99% 5,256 min/año=3,65 días/año 99,9% 526 min/año=8,76 horas/año 99,99% 52,56 min/año 99,999% 5,26 min/año 99,9999% 30 seg/año

(45)

Máquina Virtual 4 Máquina Virtual 3 Máquina Virtual 2 Máquina Virtual 1 VM2.vmx SCSI0-0.vmdk SCSI0-1.vmdk Estrategias de continuidad (Virtualización)

Metodología

(46)

• Tecnología

–

Centros de cómputo

• Distancia

• Número

• Acceso remoto

• Comunicación

redundante

• Acuerdos de servicio

(SLA)

• Seguridad

Metodología

Restauración Recuperación Reanudación Respuesta Prevención

(47)

Metodología

Nivel I Nivel II Nivel III Nivel IV

Tipo de edificio

Compartido Compartido Independiente Independiente

Personal Ninguno 1 turno > 1 turno 7x24

Caminos de acceso

Solo 1 Solo 1 1 activo

1 pasivo 2 activos Redundancia N N+1 N+1 2(N+1) Climatización ininterrumpida No No Puede ser Sí Puntos únicos de fallo Muchos + error humano Muchos + error humano Varios + error humano Ninguno + error humano Disponibilidad 99.671% 99.794% 99.982% 99.995% Meses para implementar 3 3-6 15-20 15-20

Clasificación según Uptime Institute

(48)

• Tecnología

–

Alternativas de

recuperación

• Sitios de recuperación

externos (hot site, cold

site, warm site)

• Recuperación interna

• Acuerdos recíprocos

• Procedimientos

manuales

• Suspensión de

servicios

Metodología

(49)

Punto de Recuperación (RPO) Tiempo de Recuperación (RTO)

Sem Días Hrs Min Seg Seg Min Hrs Días Sem

Cintas de respaldo

Replicación asíncrona

Replicación

síncrona Warm site

Cold site

Acuerdos de respaldo Hot site

(50)

• Información vital

–

Almacenamiento y

recuperación

–

Confidencialidad

–

Integridad

–

Disponibilidad

–

Actualizada

–

Físico/Digital

Metodología

(51)

• Proveedores/Socios

de Negocios

–

Dependencias

–

Coordinación

–

Verificación del plan

–

Pruebas

–

Políticas

(52)

• Implementación de

planes de continuidad

• Respuesta a la

emergencia

• Respuesta a

incidentes de

seguridad

Metodología

Implementación de respuestas

(53)

• Implementación de

planes

–

Equipos de trabajo

• Reanudación

• Recuperación

–

Controles

–

Seguridad

–

Inventarios

–

Recursos

Metodología

BCP

Qué?

Quién?

Cuándo?

Dónde?

Cómo?

(54)

• Respuesta a la

emergencia

–

Salvamento de vidas

–

Sistema de prevención

y atención de

emergencias

–

Sistemas de

protección

–

Autoridades locales

–

Simulacros

Metodología

(55)

Metodología

Pre-planear Responder/Estabilizar/Mitigar/Manejar Recuperar/Normal

Manejo de respuesta de Emer gencia Pública Salvamento de vidas Protección de Propiedad Seguridad Física Tecnología Recuperar – R estaurar -R eanudar

Normal Evento - Respuesta Recuperación Normal

Identificar Definir Categorizar

Escalar Notificar

(56)

Metodología

Probar, mantener y revisar

“

Escucho y olvido;

veo y recuerdo;

hago y entiendo.

“

(57)

• Pruebas

• Mantenimiento

–

Planes

–

Programa

• Revisión

Metodología

(58)

• Pruebas

–

Notificación

–

Salvamento

–

Coordinación con

autoridades

–

Estrategias

• Tecnológicas

• Operativas

Metodología

(59)

Metodología

Complejidad Prueba Objetivo Variantes Frecuencia

Simple Escritorio -_simulación Revisión contenido BCP

Act./Validar Auditoría Verificación Involucrar roles Trimestral Semestral Anual

Media Ejercicio _parcial Situación controlada que no _{impacte la operación normal}

Operaciones críticas en sitio alterno (anunciadas-sorpresa) Semestral Alta Ejercicio de todo el plan Evacuación Activación de contingencias tecnológicas y operativas Involucrar proveedores (anunciadas-sorpresa) Semestral

(60)

• Tipos de pruebas

Metodología

Horarios

no hábiles

.

Horarios hábiles con

todos los clientes

.

Día

Æ

Semana

Æ

Varias semanas.

Alternar

producción & contingencia

.

Horarios no hábiles con

grupos de clientes

.

(61)

Metodología

(62)

Metodología

(63)

• Mantenimiento

–

Actualización

–

Registro

–

Distribución

–

Criterios de revisión

Metodología

(64)

Metodología

(65)

Metodología

Modelo de Madurez

Analogía del atleta

Nivel 1 •Capacidad para avanzar lentamente Nivel 2 •Capacidad para caminar Nivel 3 •Capacidad para correr Nivel 4 •Apto para correr Nivel 5 •Corredor competitivo Nivel 6 •Corredor olímpico

Organización en riesgo Ejecutor competente Mejor de la clase

(66)

Liderazgo Conciencia Estructura Penetración Métricas Recursos Coordinación Contenido

Competencias

Metodología

Liderazgo

Es el compromiso y entendimiento demostrado por la Alta Gerencia con respecto a la implantación, en toda la compañía y de manera escalada del programa de continuidad

(67)

Liderazgo Conciencia Estructura Penetración Métricas Recursos Coordinación Contenido

Competencias

Metodología

Conciencia

El personal de la organización en todos los niveles, conoce y entiende la importancia de la continuidad del negocio.

(68)

Liderazgo Conciencia Estructura Penetración Métricas Recursos Coordinación Contenido

Competencias

Metodología

Estructura

Definición del programa de

continuidad del negocio con roles y responsabilidades claras. (Nivel y calidad de implementación)

(69)

Liderazgo Conciencia Estructura Penetración Métricas Recursos Coordinación Contenido

Competencias

Metodología

Penetración

Nivel de coordinación de la

continuidad del negocio existente entre las unidades de negocio. Las áreas incorporan iniciativas.

(70)

Liderazgo Conciencia Estructura Penetración Métricas Recursos Coordinación Contenido

Competencias

Metodología

Métricas

Identificación, medición y reporte frecuente de indicadores

cuantificables para monitorear el rendimiento del programa de continuidad.

Permiten medir el cumplimiento de objetivos establecidos.

(71)

Liderazgo Conciencia Estructura Penetración Métricas Recursos Coordinación Contenido

Competencias

Metodología

Recursos

Disponibilidad de recursos humanos y financieros

necesarios para asegurar el sostenimiento del programa

(72)

Liderazgo Conciencia Estructura Penetración Métricas Recursos Coordinación Contenido

Competencias

Metodología

Coordinación

Socios de negocio Autoridades locales Gobierno

(73)

Liderazgo Conciencia Estructura Penetración Métricas Recursos Coordinación Contenido

Competencias

Metodología

Contenido

Actualización

Mejora permanente Calidad

(74)

• Sensibilización

• Desarrollo de

competencias

• Entrenamiento

• Aprender de la

experiencia

• Incluir a proveedores y

socios de negocio

• Inducción a nuevos

empleados

Metodología

Cultura Organizacional

(75)

Metodología

En síntesis….

Planeación de la Continuidad del Negocio Pruebas – Mejora continua

Entrenamiento Mantenimiento Aseguramiento de la Calidad

Planes Equipos Tareas

BIA Responsabilidades Estrategias

Alcance Políticas Propósito

Objetivos Supuestos